Integrar o Azure Stack Hub com soluções de monitoramento usando o encaminhamento de syslog
Este artigo mostra como usar o syslog para integrar a infraestrutura do Azure Stack Hub com soluções de segurança externas já implantadas em seu datacenter. Por exemplo, um sistema SIEM (gerenciamento de eventos e informações de segurança). O canal syslog expõe logs de segurança, auditorias e alertas de todos os componentes da infraestrutura do Azure Stack Hub. Use o encaminhamento de syslog para integração com soluções de monitoramento de segurança e para recuperar todos os logs de segurança, as auditorias e os alertas para armazená-los para retenção.
A partir da atualização 1809, o Azure Stack Hub tem um cliente syslog integrado que, uma vez configurado, emite mensagens de syslog com o conteúdo no CEF (Formato Comum de Evento).
O diagrama a seguir descreve a integração do Azure Stack Hub com um SIEM externo. Há dois padrões de integração que precisam ser considerados: o primeiro (aquele em azul) é a infraestrutura do Azure Stack Hub que abrange as máquinas virtuais da infraestrutura e os nós do Hyper-V. Todos os logs de segurança, auditorias e alertas desses componentes são coletados e expostos centralmente por meio do syslog com o payload no CEF. Esse padrão de integração é descrito nesta página de documento. O segundo padrão de integração é aquele descrito em laranja e abrange os controladores de gerenciamento de placa base (BMCs), o host do ciclo de vida de hardware (HLH), as máquinas virtuais e dispositivos virtuais que executam o software de monitoramento e gerenciamento de parceiros de hardware e a parte superior dos comutadores TOR (rack). Como esses componentes são específicos do parceiro de hardware, entre em contato com seu parceiro de hardware para ver a documentação sobre como integrá-los a um SIEM externo.
Configurar o encaminhamento de syslog
O cliente syslog no Azure Stack Hub dá suporte às seguintes configurações:
Syslog sobre TCP, com autenticação mútua (cliente e servidor) e criptografia TLS 1.2: Nessa configuração, o servidor syslog e o cliente syslog podem verificar a identidade um do outro por meio de certificados. As mensagens são enviadas por um canal criptografado TLS 1.2.
Syslog sobre TCP com autenticação de servidor e criptografia TLS 1.2: Nessa configuração, o cliente syslog pode verificar a identidade do servidor syslog por meio de um certificado. As mensagens são enviadas por um canal criptografado TLS 1.2.
Syslog sobre TCP, sem criptografia: Nessa configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por TCP.
Syslog sobre UDP, sem criptografia: Nessa configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por UDP.
Importante
A Microsoft recomenda fortemente usar tcp usando autenticação e criptografia (configuração nº 1 ou, no mínimo, #2) para ambientes de produção para proteger contra ataques man-in-the-middle e interceptação de mensagens.
Cmdlets para configurar o encaminhamento de syslog
Configurar o encaminhamento de syslog requer acesso ao PEP (ponto de extremidade privilegiado). Dois cmdlets do PowerShell foram adicionados ao PEP para configurar o encaminhamento de syslog:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Parâmetros de cmdlets
Parâmetros para o cmdlet Set-SyslogServer:
| Parâmetro | Descrição | Type | Obrigatório |
|---|---|---|---|
| ServerName | FQDN ou endereço IP do servidor syslog. | String | sim |
| ServerPort | Número da porta em que o servidor syslog está escutando. | UInt16 | sim |
| NoEncryption | Force o cliente a enviar mensagens syslog em texto não criptografado. | flag | não |
| SkipCertificateCheck | Ignore a validação do certificado fornecido pelo servidor de syslog durante o handshake TLS inicial. | flag | não |
| SkipCNCheck | Ignore a validação do valor Nome Comum do certificado fornecido pelo servidor de syslog durante o handshake TLS inicial. | flag | não |
| UseUDP | Use o syslog com UDP como protocolo de transporte. | flag | não |
| Remover | Remova a configuração do servidor do cliente e interrompa o encaminhamento de syslog. | flag | não |
Parâmetros para o cmdlet Set-SyslogClient :
| Parâmetro | Descrição | Type |
|---|---|---|
| pfxBinary | O conteúdo do arquivo PFX, canalizado para um Byte[], que contém o certificado a ser usado pelo cliente como identidade para fazer a autenticação no servidor do syslog. | Byte[] |
| CertPassword | Senha para importar a chave privada associada ao arquivo pfx. | SecureString |
| RemoveCertificate | Remova o certificado do cliente. | flag |
| OutputSeverity | Nível de registro de log de saída. Os valores são Default ou Verbose. O padrão inclui níveis de severidade: aviso, crítico ou erro. Detalhado inclui todos os níveis de severidade: detalhado, informacional, aviso, crítico ou erro. | String |
Configurar o encaminhamento de syslog com TCP, autenticação mútua e criptografia TLS 1.2
Nessa configuração, o cliente syslog no Azure Stack Hub encaminha as mensagens para o servidor syslog por TCP, com criptografia TLS 1.2. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e confiável. O cliente também fornece um certificado para o servidor como prova de sua identidade. Essa configuração é a mais segura, pois fornece uma validação completa da identidade do cliente e do servidor e envia mensagens por um canal criptografado.
Importante
A Microsoft recomenda fortemente usar essa configuração para ambientes de produção.
Para configurar o encaminhamento de syslog com TCP, autenticação mútua e criptografia TLS 1.2, execute os dois cmdlets em uma sessão PEP:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
O certificado do cliente deve ter a mesma raiz fornecida durante a implantação do Azure Stack Hub. Ele também deve conter uma chave privada.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Configurando o encaminhamento de syslog com TCP, autenticação de servidor e criptografia TLS 1.2
Nessa configuração, o cliente syslog no Azure Stack Hub encaminha as mensagens para o servidor syslog por TCP, com criptografia TLS 1.2. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e confiável. Essa configuração impede que o cliente envie mensagens para destinos não confiáveis. O TCP usando autenticação e criptografia é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Caso deseje testar a integração do servidor syslog com o cliente do Azure Stack Hub usando um certificado autoassinado ou não confiável, você pode usar esses sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Importante
A Microsoft recomenda o uso do sinalizador -SkipCertificateCheck para ambientes de produção.
Configurando o encaminhamento de syslog com TCP e nenhuma criptografia
Nessa configuração, o cliente syslog no Azure Stack Hub encaminha as mensagens para o servidor syslog por TCP, sem criptografia. O cliente não verifica a identidade do servidor nem fornece sua própria identidade ao servidor para verificação.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Importante
A Microsoft recomenda não usar essa configuração para ambientes de produção.
Configurando o encaminhamento de syslog com UDP e nenhuma criptografia
Nessa configuração, o cliente syslog no Azure Stack Hub encaminha as mensagens para o servidor syslog por UDP, sem criptografia. O cliente não verifica a identidade do servidor nem fornece sua própria identidade ao servidor para verificação.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Embora o UDP sem criptografia seja o mais fácil de configurar, ele não fornece nenhuma proteção contra ataques man-in-the-middle e escuta de mensagens.
Importante
A Microsoft recomenda não usar essa configuração para ambientes de produção.
Removendo a configuração de encaminhamento do syslog
Para remover completamente a configuração do servidor syslog e interromper o encaminhamento do syslog:
Remover a configuração do servidor syslog do cliente
Set-SyslogServer -Remove
Remover o certificado do cliente do cliente
Set-SyslogClient -RemoveCertificate
Verificando a configuração do syslog
Se você conectou com êxito o cliente syslog ao servidor syslog, deverá começar a receber eventos em breve. Se você não vir nenhum evento, verifique a configuração do cliente syslog executando os seguintes cmdlets:
Verificar a configuração do servidor no cliente syslog
Get-SyslogServer
Verificar a configuração do certificado no cliente do syslog
Get-SyslogClient
Esquema de mensagens do Syslog
O encaminhamento syslog da infraestrutura do Azure Stack Hub envia mensagens formatadas em CEF (Formato comum de evento). Cada mensagem syslog é estruturada com base neste esquema:
<Time> <Host> <CEF payload>
O conteúdo do CEF é baseado na estrutura abaixo, mas o mapeamento para cada campo varia dependendo do tipo de mensagem (Evento do Windows, Alerta criado, Alerta fechado).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Mapeamento de CEF para eventos de ponto de extremidade privilegiado
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabela de eventos para o ponto de extremidade privilegiado:
| Evento | ID do evento PEP | Nome da tarefa PEP | Severidade |
|---|---|---|---|
| PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
| SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
| SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
| SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
| SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
| PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
| NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
| RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
| SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
| GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
| ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
| PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
Tabela de severidade PEP:
| Severidade | Nível | Valor Numérico |
|---|---|---|
| 0 | Indefinido | Valor: 0. Indica logs em todos os níveis |
| 10 | Crítico | Valor: 1. Indica logs para um alerta crítico |
| 8 | Erro | Valor: 2. Indica logs para um erro |
| 5 | Aviso | Valor: 3. Indica logs para um aviso |
| 2 | Informações | Valor: 4. Indica logs para uma mensagem informativa |
| 0 | Detalhado | Valor: 5. Indica logs em todos os níveis |
Mapeamento de CEF para eventos de ponto de extremidade de recuperação
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabela de eventos para o ponto de extremidade de recuperação:
| Evento | ID do evento REP | Nome da tarefa REP | Severidade |
|---|---|---|---|
| RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
| RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
| RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
| RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
| RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
| RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
Tabela de severidade rep:
| Severidade | Nível | Valor numérico |
|---|---|---|
| 0 | Indefinido | Valor: 0. Indica logs em todos os níveis |
| 10 | Crítico | Valor: 1. Indica logs para um alerta crítico |
| 8 | Erro | Valor: 2. Indica logs para um erro |
| 5 | Aviso | Valor: 3. Indica logs para um aviso |
| 2 | Informações | Valor: 4. Indica logs para uma mensagem informativa |
| 0 | Detalhado | Valor: 5. Indica logs em todos os níveis |
Mapeamento de CEF para eventos do Windows
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabela de gravidade para eventos do Windows:
| Valor de severidade do CEF | Nível de evento do Windows | Valor numérico |
|---|---|---|
| 0 | Indefinido | Valor: 0. Indica logs em todos os níveis |
| 10 | Crítico | Valor: 1. Indica logs para um alerta crítico |
| 8 | Erro | Valor: 2. Indica logs para um erro |
| 5 | Aviso | Valor: 3. Indica logs para um aviso |
| 2 | Informações | Valor: 4. Indica logs para uma mensagem informativa |
| 0 | Detalhado | Valor: 5. Indica logs em todos os níveis |
Tabela de extensão personalizada para eventos do Windows no Azure Stack Hub:
| Nome da extensão personalizada | Exemplo de evento do Windows |
|---|---|
| MasChannel | Sistema |
| MasComputador | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| MasEventDescription | As configurações de Política de Grupo para o usuário foram processadas com êxito. Não foi detectada nenhuma alteração desde o último processamento bem-sucedido de Política de Grupo. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Êxito na Auditoria |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | informações |
| MasProviderEventSourceName | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft-Windows-GroupPolicy |
| MasSecurityUserId | <Windows SID> |
| MasTask | 0 |
| MasTaskCategory | Criação de processos |
| MasUserData | KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Mapeamento de CEF para alertas criados
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabela de severidade de alertas:
| Severidade | Nível |
|---|---|
| 0 | Indefinido |
| 10 | Crítico |
| 5 | Aviso |
Tabela de extensão personalizada para alertas criados no Azure Stack Hub:
| Nome da extensão personalizada | Exemplo |
|---|---|
| MasEventDescription | DESCRIÇÃO: um TestUser de conta <de usuário foi criado para <TestDomain>.> É um risco potencial de segurança. -- CORREÇÃO: contate o suporte. A Assistência ao Cliente é necessária para resolve esse problema. Não tente resolve esse problema sem a assistência deles. Antes de abrir uma solicitação de suporte, inicie o processo de coleta de arquivos de log usando as diretrizes de https://aka.ms/azurestacklogfiles. |
Mapeamento de CEF para alertas fechados
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
O exemplo a seguir mostra uma mensagem syslog com conteúdo CEF:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
Tipos de evento Syslog
A tabela lista todos os tipos de eventos, eventos, esquema de mensagem ou propriedades que são enviadas por meio do canal syslog. O comutador detalhado de instalação só deve ser usado se os eventos informativos do Windows forem necessários para a integração do SIEM.
| Tipo de evento | Eventos ou esquema de mensagem | Requer configuração detalhada | Descrição do evento (opcional) |
|---|---|---|---|
| Alertas do Azure Stack Hub | Para obter o esquema de mensagem de alerta, consulte Mapeamento de CEF para alertas fechados. Uma lista de todos os alertas em compartilhados em um documento separado. |
Não | Alertas de integridade do sistema |
| Eventos de ponto de extremidade privilegiado | Para o esquema de mensagem de ponto de extremidade privilegiado, consulte Mapeamento de CEF para eventos de ponto de extremidade privilegiados. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoveCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
Não | |
| Eventos de ponto de extremidade de recuperação | Para o esquema de mensagem do ponto de extremidade de recuperação, consulte Mapeamento de CEF para eventos de ponto de extremidade de recuperação. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
Não | |
| Eventos de Segurança do Windows | Para o esquema de mensagem de evento do Windows, consulte Mapeamento de CEF para eventos do Windows. |
Sim (para obter eventos de informações) | Tipo: - Informações - Aviso - Erro - Crítico |
| Eventos de ARM | Propriedades da mensagem: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
Não |
Cada recurso arm registrado pode gerar um evento. |
| Eventos BCDR | Esquema de mensagem: AuditingManualBackup { } AuditingConfig { Intervalo Retenção IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
Não | Esses eventos acompanham as operações de administrador de backup de infraestrutura feitas manualmente pelo cliente, inclui o backup de gatilho, a configuração de backup de alteração e os dados de backup de remoção. |
| Eventos de fechamento e criação de falha de infra | Esquema de mensagem: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Não | As falhas disparam fluxos de trabalho que tentam corrigir erros que podem levar a alertas. Se uma falha não tiver correção, isso levará diretamente a um Alerta. |
| Eventos de criação e fechamento de falhas de serviço | Esquema de mensagem: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
Não | As falhas disparam fluxos de trabalho que tentam corrigir erros que podem levar a alertas. Se uma falha não tiver correção, isso levará diretamente a um Alerta. |
| Eventos PEP WAC | Esquema de mensagem: Campos de prefixo * ID da assinatura: Microsoft-AzureStack-PrivilegedEndpoint: <ID do evento PEP> * Nome: <Nome da Tarefa PEP> * Severidade: mapeada a partir do nível pep (detalhes consulte a tabela Severidade PEP abaixo) * Quem: conta usada para se conectar ao PEP * WhichIP: endereço IP do servidor ERCS que hospeda o PEP WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Não |